瀚高安全版数据库跨模式访问表

原创 于 2025-12-11 10:06:00 发布 · 777 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库 #安全 #瀚高数据库

文章目录

环境

系统平台:中标麒麟(海光)7
版本:4.3.4.7

文档用途

本文主要介绍在安全版HGDB中,如何通过对用户、模式、表等数据库对象授权管理,实现表的跨模式访问,本次主要介绍以下规则:

1、数据库的默认搜索模式为$user,public,在没有创建跟用户同名的模式的情况下,默认表都创建在public下;

2、通过角色继承的方式创建的用户a跟b,a用户创建的表,将表a的属主改为b用户后,ab用户同时拥有drop该表的权限;

3、安全版数据库下用户可以将自建的模式赋予给其他用户,根据使用情况赋予create、usage等权限,不推荐使用all privilege参数;

4、如果一个b用户想访问a用户下自建模式下的表,需要a用户将模式、表的权限都赋给b用户才可以实现,单独授予任何一个的情况下,在添加了search_path参数后,可以看到表,但是无法查询表的内容。

详细信息

1、创建数据库用户a ,数据库a,属主为用户a,通过角色继承的方式创建用户b

highgo=# create user a with password 'highgo123';
CREATE ROLE

highgo=# create database a with owner=a;

CREATE DATABASE

highgo=# create user b inherit user a password'highgo123';

2、通过用户a 登录数据库a,创建测试表a,并插入数据

[root@node1 ~]# psql -U a -d a

psql (4.3.4.7)

输入 "help" 来获取帮助信息. 

a=> create table a (id int);

CREATE TABLE

a=> insert into a values(1);

INSERT 0 1

3、通过用户b登录数据库a ,可以看到public下的表a,但是没有权限访问

[root@node1 ~]# psql -U b -d a

用户 b 的口令:

注意:

Login User: b

Login time: 2020-01-08 11:22:49.58514+08

Login Address: [local]

Last Login Status: SUCCESS

Login Failures: 0

Valied Until: 2020-01-15 11:15:50+08

psql (4.3.4.7)

输入 "help" 来获取帮助信息.

 

a=>

a=>

a=> \dt+

关联列表

 架构模式 | 名称 |  类型  | 拥有者 |    大小    | 描述

----------+------+--------+--------+------------+------

 public   | a    | 数据表 | a      | 8192 bytes |

(1 行记录)

a=> select * from a;

错误: 对关系 a 权限不够

4、登录数据库,把表a的增删改查权限赋予用户b,再次查询成功

[root@node1 ~]# psql -U a -d a

用户 a 的口令:

注意:

Login User: a

Login time: 2020-01-08 11:23:34.17439+08

Login Address: [local]

Last Login Status: SUCCESS

Login Failures: 0

Valied Until: 2020-01-15 11:14:29+08

psql (4.3.4.7)

输入 “help” 来获取帮助信息.

a=> grant select,insert,update,delete,truncate on table a to b;

GRANT

a=> \q

[root@node1 ~]# psql -U b -d a;

用户 b 的口令:

注意:

Login User: b

Login time: 2020-01-08 11:27:08.566743+08

Login Address: [local]

Last Login Status: SUCCESS

Login Failures: 0

Valied Until: 2020-01-15 11:15:50+08

psql (4.3.4.7)

输入 “help” 来获取帮助信息.

a=> select * from a;

id

1

(1 行记录)

5、将表a的属主改为用户b,此时用户a,用户b均可以对表a进行drop操作

[root@node1 ~]# psql -U a -d a

用户 a 的口令:

注意:

Login User: a

Login time: 2020-01-08 11:28:44.451+08

Login Address: [local]

Last Login Status: SUCCESS

Login Failures: 0

Valied Until: 2020-01-15 11:14:29+08

a=> alter table a owner to b;

ALTER TABLE

a=> \dt+

                       关联列表

 架构模式 | 名称 |  类型  | 拥有者 |    大小    | 描述

----------+------+--------+--------+------------+------

 public   | a    | 数据表 | b      | 8192 bytes |

(1 行记录)

a=>

a=> insert into a values(2);

INSERT 0 1

a=> select * from a;

 id

----

  1

  2

(2 行记录)

a=> begin

a-> ;

BEGIN

a=> drop table a;

DROP TABLE

a=> rollback;

ROLLBACK

a=>

a=>

a=> select * from a

a-> ;

 id

----

  1

  2

(2 行记录)

 

a=> end;

警告: 没有事物在运行中

COMMIT

6、用户a创建同名模式a,创建表f,同时把模式a下所有表的查询权限赋给b

[root@node1 ~]# psql -U a -d a

用户 a 的口令:

注意:

Login User: a

Login time: 2020-01-08 11:28:44.451+08

Login Address: [local]

Last Login Status: SUCCESS

Login Failures: 0

Valied Until: 2020-01-15 11:14:29+08

a=> create schema a;

CREATE SCHEMA 

a=> create table f(id int);

CREATE TABLE

a=>

a=>

a=>

a=> \dt

             关联列表

 架构模式 | 名称 |  类型  | 拥有者

----------+------+--------+--------

 a        | f    | 数据表 | a

 public   | a    | 数据表 | b

 

a=> grant select on all tables in schema a to b;

GRANT

a=>

a=>

a=>

a=> \q

7、此时用户b仍然无法查询到模式a下的表f

[root@node1 ~]# psql -U b -d a

用户 b 的口令:

注意:

Login User: b

Login time: 2020-01-08 17:24:22.295389+08

Login Address: [local]

Last Login Status: SUCCESS

Login Failures: 0

Valied Until: 2020-01-15 11:15:50+08

psql (4.3.4.7)

输入 “help” 来获取帮助信息.

a=> select * from a.f;

错误: 对模式 a 权限不够

第1行select * from a.f;

8、将模式a的使用权限赋给用户b

[root@node1 ~]# psql -U a -d a

用户 a 的口令:

注意:

Login User: a

Login time: 2020-01-08 17:29:23.407098+08

Login Address: [local]

Last Login Status: SUCCESS

Login Failures: 0

Valied Until: 2020-01-15 11:14:29+08

psql (4.3.4.7)

输入 “help” 来获取帮助信息.

a=> grant usage on schema a to b;

GRANT

9、再次使用用户b登录就可以查询模式a下的表

[root@node1 ~]# psql -U b -d a

用户 b 的口令:

注意:

Login User: b

Login time: 2020-01-08 17:31:12.875106+08

Login Address: [local]

Last Login Status: SUCCESS

Login Failures: 0

Valied Until: 2020-01-15 11:15:50+08

psql (4.3.4.7)

输入 “help” 来获取帮助信息.

a=> select * from a.f;

 id

----

(0 行记录

10、在会话级更改模式搜索路径参数,可临时解决其他模式下表的可见问题

a=> \dt

             关联列表

 架构模式 | 名称 |  类型  | 拥有者

----------+------+--------+--------

 public   | a    | 数据表 | b

 public   | b    | 数据表 | a

 public   | c    | 数据表 | a

 public   | d    | 数据表 | a

(4 行记录)

a=> set search_path to a,'$user',public;

SET

a=> \dt

             关联列表

 架构模式 | 名称 |  类型  | 拥有者

----------+------+--------+--------

 a        | f    | 数据表 | a

 public   | a    | 数据表 | b

 public   | b    | 数据表 | a

 public   | c    | 数据表 | a

 public   | d    | 数据表 | a

(5 行记录)
博客
瀚高用户反馈调研
04-22 1430
瀚高用户调研
博客
【只为求才,Want AD】
12-10 2179
【求才】有数据库DBA经验,或开发经验均可谈。中国大陆地区。感谢关注和推荐。company: www.highgo.comSend Resumes To Mail: lisong@highgo.com
博客
基于PostgreSQL进行Java应用开发
11-04 4412
该手册由PG实验室的成员结合多年对postgresql数据库的使用及Java应用开发经验,总结了一套实战入门手册。帮助PostgreSQL软件爱好者及初学者快速学习postgresql数据库的相关知识。针对应用如何适配postgresql数据库,提供了丰富的技巧案例。开发人员在不了解postgresql的情况下,通过该手册的学习,能够自主的实现基于postgresql的应用开发工作。以上是适配手册涵盖的章节内容。本手册一共6个章节:第1章PostgreSQL介绍 1.1.PostgreSQL起源
博客
WebSphere Application Server 连接瀚高数据库JDBC解决方案
12-12 460
配置serverName、portNumber、databaseName、user和password 输入相应的数据库服务器IP、数据库服务端口、数据库名、用户名和用户密码。注意:这里我没有配置安全认证别名,如果有配置过J2C认证别名,可以根据需要自行配置,J2C认证中的用户密码可以充当数据库的用户及密码(前提是认证用户信息及数据库用户信息)。注意:默认安装管理员用户密码均为wasadmin,如果在WAS概要文件管理配置时,配置了管理安全性用户及密码则用自定义的。下一步,输入数据源特定的数据库属性。
博客
数据库未能完全启动,创建socket临时文件失败
12-12 294
因为autovacuum launcher process和stats collector process进程需要通过本地回环接口收集统计信息,如果本地回环接口down掉,则这两个进程无法启动。后台进程缺少了autovacuum launcher process和stats collector process进程,数据库未能完全启动。系统平台:Linux x86-64 Red Hat Enterprise Linux 7。
博客
Windows下DATA目录的迁移
12-11 107
(由于windows下封装的包,在安装时写入的data目录会注册到服务相对应的注册表中,所以修改了data目录就要修改相关的所有注册表,所以删除服务重新生成服务可以生成新的注册表,才能通过服务来启动数据库)错误信息存在于系统日志 ( 开始->管理工具->服务器管理器->诊断->事件查看器->windows日志->应用程序) 中会提示找不到data目录。6、通过服务启动数据库,发现会报错,提示找不到data目录,所以仅改数据库配置文件不够,可以有以下几种方法。7、刷新服务列表,启动数据库。
博客
数据库重启后,无法删除postmaster.pid锁文件
12-10 155
执行mount命令,排查发现data目录所在的盘变为了只读。方案二:使用磁盘管理工具,手动将盘卸载,然后重新挂载光盘。系统平台:中标麒麟(龙芯)7。版本:4.3.4.5。
博客
数据库大写用户名修改密码有效期
12-10 401
数据库内用户名默认存储为小写,如使用大写用户名,在修改相关信息时,需要使用双引号把用户名引起。系统平台:中标麒麟(海光)7。版本:4.3.4.2。
博客
如何处理数据库连接数满
12-09 417
管理员用户无法连入数据库时,可先在系统层kill几个空闲连接后,再尝试连入,若kill后,应用仍不断重复发起连接,可让应用人员先停止相关应用程序后再进行操作。管理员用户无法连进数据库时,将postgresql.auto.conf配置文件中的max_connections值修改后,重启数据库。与客户说明情况,调整连接数需重启数据库,征得客户同意后,适当增大连接数。条件允许时,建议重启数据库前先停止应用程序,重启完成后,再启动应用程序。必要时,征得客户同意后,可通过重启数据库释放连接。2.应用程序异常占用。
博客
使用应用插入默认时间字段与系统时间不一致
12-09 342
关于MySQL与PostgreSQL的时间类型:https://www.jianshu.com/p/5c58bdeaf27a。解决办法:timedatectl set-timezone ‘Asia/Hong_Kong’;设置数据库时区为香港时区。另外一篇关于解决瀚高数据库不支持北京时区的文章:标题:通过jdbc连接数据库报时区错误。(如果重启之后问题还没有得到解决,并且条件允许,重启服务器)。解决思路:使系统时区和数据库时区保持一致。解决难点:瀚高数据库不支持北京时区,系统时区与数据库时区不一致。
博客
Blob和Clob类型的数据查询报错
12-08 300
以BYTEA为例,PostgreSQL的两种处理方式是通过分别调用JDBC的setBinaryStream()和setBlob()接口来实现的。期望的逻辑应该是Hibernate能针对PostgreSQL的这个特点来正确区分、正确调用,但不幸的是:Hibernate以为所有数据库都是调用setBinaryStream()来写入BYTEA,出于某种原因并不打算照顾PostgreSQL的特殊情况(貌似一段时间内不会改观),于是前面提到的错误现象发生了。1、定义EJB时,取消@Lob标注,按String对待。
博客
search_path 的使用说明
12-05 207
在 HGDB 中,想要查看数据库中有什么数据表或者视图,一般会在连接数据库后使用元命令\d进行查询,而元命令\d的搜索范围会限定在这个 search_path 模式搜索路径参数中。但是上述修改方式是暂时性修改,只会在本次会话生效,如果断开了数据库连接,再次使用 psql 连接进去数据库,search_path 参数又会变回默认值。search_path 模式搜索路径,是数据库使用的一个进行表查看的模式列表,本文章用于介绍如何使用模式搜索路径参数 search_path。
博客
HighGo Database删除表中的重复数据
12-05 398
本文适用于提供在HighGo Database中,没有主键及唯一索引的情况下,如何清理重复数据。本文中提供的删除方法不会判断数据的有效性,实际环境中,如数据保留有要求,需谨慎使用。ctid类似oracle中的rowid,可以标记唯一数据,如下所示。
博客
postgresql日期/时间数据类型中有无时区的差异使用
12-04 408
注意:SQL要求只写timestamp等效于timestamp without time zone,并且PostgreSQL鼓励这种行为。timestamptz被接受为timestamp with time zone的一种简写,这是一种PostgreSQL的扩展。SQL标准通过“+”或者“-”符号的存在以及时间后面的时区偏移来区分timestamp without time zone和timestamp with time zone文字。本文演示日期/时间数据类型的有无时区的差异使用,时间戳的认识和使用。
博客
hgadmin工具远程连接不上数据库
12-04 561
Linux服务器关闭了防火墙,且服务器本机能连接上数据库,但是本地windows hgadmin工具连接不上数据库,ip地址能ping通,但是端口号不通。data目录底下有个postgresql.conf文件,参数listen_addresses默认localhost,即只能本地连接。修改postgresql.conf文件参数listen_addresses为*,并重启数据库生效。系统平台:Linux x86-64 Red Hat Enterprise Linux 7。
博客
审计日志(audit_log )文件过大
12-03 366
默认情况下审计的范围是all,审计数据库所有的操作。审计的日志级别是log。审计日志覆盖删除策略是关闭的。这样就会造成审计日志不断增加。版本:4.3.4,4.3.4.2,4.3.4.3,4.3.4.4,4.3.4.5,4.3.4.6,4.3.4.7。数据库审计日志文件无限扩增,未启动自动清理机制,磁盘爆满导致数据库异常停止。业务量大的时候,会生成大量审计日志,占用大量磁盘空间。建议配置:审计日志仅记录ddl语句,每周覆盖一次。原因是安全审计配置会影响磁盘空间的使用。而磁盘空间较小时,很可能造成数据库故障。
博客
如何将HGDB安全版(RPM包形式)安装在非root用户下
12-03 569
数据库在安装后已经开启开机自启服务,由于数据库启动用户已经改变,需要对自启动服务文件进行修改,必须在root用户下修改。保存后重启系统,查看系统后台进程,可以看到highgo用户下已经有数据源库进程,服务启动正常。本文以自建系统用户highgo为例,介绍如何将HGDB安装于非root用户下。3、关闭数据库服务,修改数据库目录属主。系统平台:中标麒麟(海光)7。版本:4.3.4.6。
博客
HGDB两表间数据复制语句介绍
12-02 235
要求目标table2不存在,在插入时会自动创建表Table2,并将Table1中指定字段数据复制到Table2中。要求目标表Table2必须存在,由于目标表Table2已经存在,所以我们除了插入源表Table1的字段外,还可以插入常量。在HGDB中的SELECT INTO和INSERT INTO SELECT两种表复制语句都可以用来复制表与表之间的数据。本文档提供SELECT INTO和INSERT INTO SELECT两种表复制语句的使用方法及示例。2.SELECT INTO FROM语句。
博客
Oracle或DM(达梦)时间戳之间的差值SQL迁移到瀚高数据库
12-02 854
这两列相减(starttime - endtime),不同的数据库得到的结果不同,以Oracle、DM(达梦)、瀚高数据库为例来说明。由于Oracle时间戳相减得到的是时间间隔类型,所以不能直接将这个结果去乘以24*60,得到的结果不准确。注意:如果使用时间间隔限定符,得到的结果不一样(我们这里只看一下就行,不做深入讨论)此时得到的是时间间隔类型,如果没有指定时间间隔限定符默认得到的是float类型。结果:181 days 09:00:00(时间间隔类型)结果:181.375(float类型)
博客
HGDB兼容性之oracle的rowid
12-01 1149
rowid是数据的详细物理地址,通过rowid,oracle可以快速的定位某行具体数据的位置。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值